WEB服务安全配置与SSL协议精选课件.ppt

1、WEB服务安全配置与服务安全配置与SSL协议协议1)2)利用利用SSL实现安全的实现安全的WEB传输服务传输服务实验目的实验目的1、掌握、掌握IIS的安全配置的安全配置2、了解、了解windows CA证书服务器的配置与功能证书服务器的配置与功能3、掌握、掌握SSL的原理和安装配置的原理和安装配置SSL站点的操作站点的操作实验内容实验内容一、一、IIS-web服务的安全配置服务的安全配置:1)安装安装IIS，默认目录改为，默认目录改为e:/myweb，并创建主页文档，并创建主页文档index.htm;2)设置本设置本web站点只能由站点只能由172.16.40.0/24的主机访问的主机访问;3

2、)设置本设置本web站点或站点子目录只能由用户站点或站点子目录只能由用户student访问访问;4)设置设置web日志为日志为w3c格式，扩充属性增加主机、发送和接收字节等；格式，扩充属性增加主机、发送和接收字节等；另设置另设置web日志为日志为ncsa格式，比较与格式，比较与w3c格式有何不同。格式有何不同。二、配置二、配置ssl站点站点,实现安全的实现安全的web传输传输:1)安装配置好安装配置好Windows2000 证书服务证书服务A(ip地址地址:ipa);2)在在IIS-web服务器服务器B上上(ip为为ipb),准备一个证书请求信息准备一个证书请求信息(certreq.txt):

3、Internet 服务管理器服务管理器web站点属性站点属性目录安全性目录安全性 服务器证书服务器证书3)访问访问ipa/certsrv/，提交证书申请提交证书申请(申请证书申请证书 高级申请高级申请);4)由证书服务器由证书服务器A审查证书申请和颁发证书；审查证书申请和颁发证书；5)访问访问ipa/certsrv/，下载已颁发的证书，下载已颁发的证书(certnew.cer)6)在在IIS-web服务器服务器B上安装证书上安装证书,使该站点变为使该站点变为SSL站点站点7)用用https协议实现协议实现web数据的安全浏览数据的安全浏览(https:/ipb)8)尝试使用网络监视器、尝试使用

4、网络监视器、sniffer等抓包工具捕获等抓包工具捕获 www通讯的数据包，通讯的数据包，注意观察注意观察ssl web站点与普通站点与普通web站点的不同站点的不同思考问题思考问题1)IIS的日志文件一般存在什么地方，有什么作用？的日志文件一般存在什么地方，有什么作用？2)简述简述ssl的原理，的原理，ssl的端口号一般为多少？的端口号一般为多少？3)比较比较ssl的的web站点与普通站点与普通web站点的区别，可从站点的区别，可从服务器设置、客户端访问、数据传输安全等方面叙述。服务器设置、客户端访问、数据传输安全等方面叙述。4)想一想想一想windows 2000证书服务器的主要功能。证书

5、服务器的主要功能。5)IIS6.0与与IIS5.0比较在安全方面有那些增强比较在安全方面有那些增强?参考资料用用SSL加密增强加密增强FTP服务器的安全性服务器的安全性在IIS上面布置SSL实现web安全通信用用SSL增强增强IIS安全性的原理和实现过程安全性的原理和实现过程 资料在网上查找l应用应用NTFS文件系统文件系统,合理配置权限合理配置权限l修改默认目录修改默认目录C:/Inetpubl共享权限的修改共享权限的修改 l为系统管理员账号更名为系统管理员账号更名 l废止废止TCP/IP上的上的NetBIOS l善用安全策略和善用安全策略和web日志审计日志审计l定期打补丁升级定期打补丁升

6、级 设置设置IIS的安全机制：的安全机制：安装时应注意的安全问题安装时应注意的安全问题避免安装在主域控制器上避免安装在主域控制器上 避免安装在系统分区上避免安装在系统分区上 用户控制的安全性用户控制的安全性匿名用户匿名用户 一般用户一般用户 登录认证的安全性登录认证的安全性匿名访问匿名访问 基本验证基本验证Windows集成验证集成验证 设置设置IIS的安全机制：的安全机制：访问权限控制访问权限控制 文件夹和文件的访问权限文件夹和文件的访问权限 WWW目录的访问权限目录的访问权限 IP地址的控制地址的控制 端口安全性的实现端口安全性的实现IP转发的安全性转发的安全性 SSL安全机制安全机制 日

7、志所在目录：日志所在目录：C:WINNTsystem32LogFilesW3SVC1 通用日志格式针对每一个通用日志格式针对每一个Web请求生成一行纪录，记请求生成一行纪录，记录以空格作为分隔，包括如下内容：录以空格作为分隔，包括如下内容：remotehos rfc931 authuserdate requeststatusbytesvSSL作为作为Web安全性解决方案安全性解决方案2019年由年由Netscape公司提出公司提出vSSL已经作为事实上的标准被众多网络产品提供商采纳已经作为事实上的标准被众多网络产品提供商采纳 SSL（Security Socket Layer）全称是加密套接字

8、协议层，它位于）全称是加密套接字协议层，它位于HTTP协议层和协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。安全机制是依靠数字证书来实现的。SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用安全机制的通信过程如下：用户与户与IIS服务器建立连接后，服务器会把数字证书与公用密

9、钥发送给用户，服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有一条安全通道，只有SSL允许的用户才能与允许的用户才能与IIS服务器进行通信。服务器进行通信。SSL网站不同于一般的网站不同于一般的Web站点，它使用的是站点，它使用的是“HTTPS”协议，而不是协议，而不是普通的普通的“HTTP”协议。因此它的协议。因

10、此它的URL（统一资源定位器）格式为（统一资源定位器）格式为“https:/网站域名网站域名”。SSLSSL原理原理SSLSSL原理原理浏览器请求与浏览器请求与WWW服务器建立安全会话服务器建立安全会话WWW服务器将自己的公钥发给浏览器服务器将自己的公钥发给浏览器WWW服务器与浏览器协商密钥位数（服务器与浏览器协商密钥位数（40位或位或128位）位）浏览器产生会话使用的秘密密钥，并用浏览器产生会话使用的秘密密钥，并用WWW服务器的公钥加密传给服务器的公钥加密传给WWW服务器服务器WWW服务器用自己的私钥解密服务器用自己的私钥解密WWW服务器和浏览器用会话密钥加密和解密，实现加密传输服务器和浏览

11、器用会话密钥加密和解密，实现加密传输利用利用SSL实现安全的实现安全的WEB传输服务传输服务1)安装证书服务器安装证书服务器 2)申请证书申请证书(准备请求信息准备请求信息提交申请提交申请)3)审查颁发证书审查颁发证书 4)下载颁发的证书下载颁发的证书5)在在IIS-WEB服务器上安装证书服务器上安装证书,使该站点变为使该站点变为SSL站点站点6)用用https协议实现协议实现web数据的安全浏览数据的安全浏览安装证书管理软件和服务（安装证书管理软件和服务（1 1）windows2000windows2000公钥基础设施公钥基础设施PKIPKI和认证机构和认证机构CA CA 图中给出了组成图中

12、给出了组成Windows 2000 PKI的基本逻辑组件，其中最的基本逻辑组件，其中最核心的为微软证书服务系统（核心的为微软证书服务系统（Microsoft Certificate Services），），它允许用户配置一个或多个企业它允许用户配置一个或多个企业CA，这些，这些CA支持证书的发放和废支持证书的发放和废除，并与活动目录和策略配合，共同完成证书和废除信息的发布。除，并与活动目录和策略配合，共同完成证书和废除信息的发布。windows2000windows2000公钥基础设施公钥基础设施PKIPKI和认证机构和认证机构CACAWindows 2000 PKI其基本组件包括如下几种：其

13、基本组件包括如下几种：1)证书服务证书服务(Certificate Services）:证书服务作为一项核心的操作系统级服务，证书服务作为一项核心的操作系统级服务，允许组织和企业建立自己的允许组织和企业建立自己的CA系统，并发布和管理数字证书。系统，并发布和管理数字证书。2)活动目录活动目录:活动目录服务作为一项核心的操作系统级服务，提供了查找网络资源活动目录服务作为一项核心的操作系统级服务，提供了查找网络资源的唯一位置，在的唯一位置，在PKI中为证书和中为证书和CRL等信息提供发布服务。等信息提供发布服务。3)基于基于PKI的应用的应用:Windows 本身提供了许多基于本身提供了许多基于P

14、KI的应用，如的应用，如Internet Explorer、Microsoft Money、Internet Information Server、Outlook和和Outlook Express等。另外，一些其它第三方等。另外，一些其它第三方PKI应用也同样可以建立在应用也同样可以建立在Windows 2000 PKI基础之上。基础之上。4)Exchange密钥管理服务密钥管理服务KMS（Exchange Key Management Service）KMS是是Microsoft Exchange提供的一项服务，允许应用存储和获取用于加密提供的一项服务，允许应用存储和获取用于加密e-mail

15、的的密钥。在将来版本的密钥。在将来版本的Windows系统中，系统中，KMS将作为将作为Windows操作系统的一部分来操作系统的一部分来提供企业级的提供企业级的KMS服务。服务。Windows 2000中的集成中的集成PKI系统提供了证书服务功能，可以让用户通过系统提供了证书服务功能，可以让用户通过Internet/extranets/intranets安全地交互敏感信息。证书服务验证一个电子商务安全地交互敏感信息。证书服务验证一个电子商务交易中参与各方的有效性和真实性，并使用智能卡等提供的额外安全措施来使域用交易中参与各方的有效性和真实性，并使用智能卡等提供的额外安全措施来使域用户登录到某

16、个域。户登录到某个域。Windows 2000通过创建一个证书机构通过创建一个证书机构CA来管理其公钥基础设施来管理其公钥基础设施PKI，以提，以提供证书服务。一个供证书服务。一个CA通过发布证书来确认用户公钥和其他属性的绑定关系，以提通过发布证书来确认用户公钥和其他属性的绑定关系，以提供对用户身份的证明。供对用户身份的证明。Windows 2000证书服务创建的证书服务创建的CA可以接收证书请求、验可以接收证书请求、验证请求信息和请求者身份、发行和撤销证书，以及发布证书废除列表证请求信息和请求者身份、发行和撤销证书，以及发布证书废除列表CRL（Certificate Revocation L

17、ist）。证书服务是通过内置的证书管理单元来实现的。）。证书服务是通过内置的证书管理单元来实现的。安装证书管理软件和服务（安装证书管理软件和服务（2 2）安装证书管理软件和服务（安装证书管理软件和服务（3 3）安装证书管理软件和服务（安装证书管理软件和服务（4 4）安装证书管理软件和服务（安装证书管理软件和服务（5 5）准备一个证书请求信息（准备一个证书请求信息（1 1）准备一个证书请求信息（准备一个证书请求信息（2 2）准备一个证书请求信息（准备一个证书请求信息（3 3）准备一个证书请求信息（准备一个证书请求信息（4 4）准备一个证书请求信息（准备一个证书请求信息（5 5）准备一个证书请求信

18、息（准备一个证书请求信息（6 6）准备一个证书请求信息（准备一个证书请求信息（7 7）提交证书申请（提交证书申请（1 1）提交证书申请（提交证书申请（2 2）提交证书申请（提交证书申请（3 3）提交证书申请（提交证书申请（4 4）提交证书申请（提交证书申请（5 5）为证书申请者颁布证书（为证书申请者颁布证书（1 1）为证书申请者颁布证书（为证书申请者颁布证书（2 2）为证书申请者颁布证书（为证书申请者颁布证书（3 3）为证书申请者颁布证书（为证书申请者颁布证书（4 4）下载证书（下载证书（1 1）下载证书（下载证书（2 2）下载证书（下载证书（3 3）下载证书（下载证书（4 4）安装证书并配置

19、安装证书并配置WWWWWW服务器（服务器（1 1）安装证书并配置安装证书并配置WWWWWW服务器（服务器（2 2）安装证书并配置安装证书并配置WWWWWW服务器（服务器（3 3）安装证书并配置安装证书并配置WWWWWW服务器（服务器（4 4）安装证书并配置安装证书并配置WWWWWW服务器（服务器（5 5）安装证书并配置安装证书并配置WWWWWW服务器（服务器（6 6）安装证书并配置安装证书并配置WWWWWW服务器（服务器（7 7）验证并访问安全的验证并访问安全的WebWeb站点（站点（1 1）验证并访问安全的验证并访问安全的WebWeb站点（站点（2 2）验证并访问安全的验证并访问安全的WebWeb站点（站点（2 2）